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Beleidsregels privacy in het sociaal domein gemeente Winterswijk 


Inleiding 

Gemeenten staan voor de enorme uitdaging om per 1 januari 2015 de dienstverlening op het gebied 
van jeugd, zorg, werk en inkomen zo effectief en efficiënt mogelijk te organiseren. Efficiëntie is 
noodzakelijk omdat er ook een kostenbesparing moet worden bewerkstelligd. Daarnaast is de opdracht 
vanuit de rijksoverheid om expliciet in te zetten op vernieuwing door invulling te geven aan integrale 
dienstverlening. Het overgaan naar integrale dienstverlening impliceert dat gemeenten over de grenzen 
van sectoren in het sociaal domein moeten kijken. Als de situatie daarom vraagt, moeten 
persoonsgegevens uit verschillende sectoren bij elkaar kunnen worden gebracht. Deze werkwijze is 
een logisch en noodzakelijk gevolg van de doelstellingen van de overheid. Omdat het stellen van eigen 
kaders geheel aan gemeenten wordt overgelaten, zullen gemeenten zich al gauw vrij voelen zo breed 
mogelijk over de betrokkene uit te vragen. Omdat dit op gespannen voet met de privacywetgeving 
staat, ontstaat er een aanzienlijk risico dat de privacy van burgers (te veel) wordt geschonden. Dit wordt 
versterkt doordat de privacywaarborgen uit de Wet bescherming persoonsgegevens (verder te noemen: 
Wbp) niet zijn opgenomen in de nieuwe wetgeving voor het sociaal domein. Daarnaast is er geen 
eigenstandige bevoegdheid om over de domeinen heen, persoonsgegevens te verwerken. 

Het College voor bescherming persoonsgegevens (CBP) heeft meerdere malen gewaarschuwd voor 
de risico's van 'bovenmatig delen van persoonsgegevens, het gebruiken van de gegevens voor een 
doel dat niet verenigbaar is met het oorspronkelijke doel waarvoor zij zijn verzameld en de beveiliging'. 
Bovendien dreigt volstrekte ondoorzichtigheid, zo stelt het CBP, 'waardoor het noch voor burgers noch 
voor de overheid zelf inzichtelijk is wie welke gegevens verzamelt en gebruikt en met welk doel dat 
gebeurt.' 

Naar verwachting zal in 2015 de Europese Unie de Algemene Verordening Gegevensbescherming 
vaststellen. Deze verordening heeft als doelstelling om voor 27 verschillende lidstaten één uniforme 
verordening te realiseren. De regels voor de verwerking van persoonsgegevens worden op veel punten 
aangescherpt, meer randvoorwaarden verplicht gesteld en op overtreding worden zeer hoge boetes 
gesteld. Een intern privacybeleid met een functionaris voor de gegevensbescherming (privacybeheerder) 
wordt dan ook verplicht. 

De wijze waarop gemeenten vanaf 1 januari 2015 om zullen gaan met de verwerking van 
persoonsgegevensverwerking en de daarmee gepaarde risico's op (ernstige) privacyschendingen, roept 
ook maatschappelijk vragen en onrust op. De vrees bestaat dat privacygevoelige informatie ook terecht 
komt bij ambtenaren en andere professionals die daar voor hun werk niet per se over hoeven te 
beschikken. 

Voor het rechtmatig verwerken van persoonsgegevens binnen het sociaal domein, is bewustwording 
van de waarborgen uit de privacywetgeving van groot belang. De vaststelling van deze beleidsregels 
in combinatie met een ambtelijk op te stellen afwegingskader is een belangrijke stap in de borging van 
privacy. 

Nu de privacywetgeving nog niet is aangepast aan de nieuwe maatschappelijke opdracht die de 
gemeenten per 1 januari 2015 krijgen van het Rijk, is het sluitend regelen van privacy voorde gemeenten 
een ingewikkelde opgave. Om dit zo goed mogelijk te doen zal het thema privacy op de agenda moeten 
blijven staan, kaders en beleid moeten worden ontwikkeld en vastgesteld en trainingen moeten worden 
verzorgd om binnen de gemeente een bewustwording op gang te brengen en te houden. De uitdaging 
is om ervoor te zorgen dat zich een praktijk ontwikkelt waarin de juiste balans wordt gevonden tussen 
ruimte voor de professionals om een optimale ondersteuning aan de burgers te kunnen verlenen én 
het waarborgen van de privacy van burgers. 

Derde partijen 

Een deel van onze taken hebben wij uitbesteed aan private partijen. Wij zijn ook in die gevallen 
verantwoordelijk voor de zorgvuldigheid van de gegevensverwerking, borging van de privacy en 
beveiliging van gegevens conform de geldende wetgeving. In de inkoopcontracten die met 
zorgaanbieders gesloten zijn is een privacyclausule opgenomen. We werken echter ook met een aantal 
partijen samen waarbij die samenwerking (nog) niet is vastgelegd in een overeenkomst of convenant. 
Ook deze partijen moeten de privacy wel waarborgen. Wij moeten nog nader bezien met welke partijen 
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een zogenaamde bewerkingsovereenkomst moet worden gesloten. Daaraan voorafgaand kunnen deze 
beleidsregels al een belangrijke leidraad zijn bij het borgen van de privacy. 

Versterken positie burger 

Nu zich nieuwe werkwijzen ontwikkelen in het sociaal domein, is het voor de gemeente van belang dat 
de burger weet welke rechten er gelden met betrekking tot gegevensverwerking door betrokken partijen, 
zoals inzage en correctierecht van gegevens en de mogelijkheid verzet aan te tekenen tegen verwerking. 
Over deze rechten zal actief worden gecommuniceerd met onze burgers. 

C onclusie s 


In onze gemeente is privacy op onderdelen geregeld maar net als in veel andere gemeenten is er op 
dit moment nog geen gemeentebreed privacybeleid en/of privacyprotocol vastgesteld. Gesteld kan 
worden dat het thema privacy nog niet voldoende geborgd is binnen de organisatie. De vraagstukken 
rondom privacy zullen zich de komende jaren verder uitkristalliseren. Beleid en regelgeving zullen van 
tijd tot tijd bijgesteld (moeten) worden. Het thema privacy zal in onze organisatie structureel aandacht 
blijven vragen. Om die reden is onlangs ook de functie van privacybeheerder concern in het leven 
geroepen. 

Gegeven de grote veranderingen per 1 januari 2015 in het sociaal domein en de daaraan verbonden 
acute privacy-risico's, worden specifiek voor dit domein deze beleidsregels vastgesteld. In- en externe 
medewerkers binnen het sociaal domein kunnen per 1 januari 2015 hun werk doen met inachtneming 
van deze privacyregels en met gebruikmaking van een afwegingskader/stappenplan. De 
afwegingsgronden en waarborgen die voortvloeien uit de Wet bescherming persoonsgegevens moeten 
nog meer als nu onderdeel uitmaken van het 'privacy-bewustzijn' binnen de werkprocessen en de 
werkwijze. Deze beleidsregels kunnen tevens dienen als startdocument voor het opstellen van een 
gemeentelijk privacybeleid. 

De b eleidsreqels 

1. Het college van burgemeester en wethouders c.q. alle interne en externe 

medewerkers/professionals laten zich leiden door de volgende uitgangspunten, regels en principes: 

• Het vergroten van de bewustwording over in acht te nemen privacywaarborgen, is onze 
grootste kracht om privacyschendingen te kunnen voorkomen. 

• Er is een spanningsveld tussen de opdrachten die voortkomen uit de nieuwe wetgeving en 
het vaak ontbreken van daarop toegesneden privacyregels. Daarom is het noodzakelijk dat 
de waarborgen uit de Wet bescherming persoonsgegevens (Wbp) worden ingebracht in het 
werkproces. 

• Wij gaan om met de privacyrechten van de ander zoals we zelf willen dat er met onze 
privacyrechten wordt omgegaan. 

• Wij beschouwen persoonsgegevens als persoonlijke gegevens, waarvan de persoon in grote 
mate zelf bepaalt welke gegevens er worden gedeeld. 

• Het op een goede manier omgaan met persoonsgegevens en het voorkomen van 
privacyschendingen ligt in het verlengde van de beginselen van zorgvuldigheid en integriteit. 

• Er wordt veel van de professionaliteit en de integriteit van alle betrokken medewerkers 
verwacht. Integer handelen geeft vertrouwen en dus meer bereidheid om hulp te vragen 
en hiervoor informatie te geven. 

• Omdat de gemeente breed en preventief wil faciliteren, zijn we afhankelijk van de hulpvraag 
van de burger. Dit is voor ons de ingang om te faciliteren. 

• Bij een goede dienstverlening past maatwerk om de burger zo goed mogelijk te kunnen 
faciliteren. Hierbij wordt er bewust voor gekozen om de hulpvraag van de bewoner leidend 
te laten zijn. Ook als het gaat om verwerken of delen van informatie (persoonsgegevens 
van de bewoner) is de hulpvraag van de bewoner leidend. De informatie die verwerkt of 
gedeeld wordt is dus altijd gerelateerd aan die hulpvraag. 

• Dit geldt ook ten aanzien van vroegtijdig signaleren. Dit vindt plaats door de inzet en 
zichtbaarheid van de hulpverleners en het gesprek met en de hulpvraag van de inwoner. 

• Door de hulpvraag leidend te laten zijn, is de dienstverlening gericht op de facilitering van 
de behoefte van de burger. De hulpvraag en niet de hulpvrager is onderwerp van nader 
doorvragen en onderzoek. 

• Per hulpvraag wordt bij het verwerken of delen van persoonsgegevens van de burger een 
afweging gemaakt ten aanzien van: 
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o de doelbinding: alleen de gegevens uitwisselen die noodzakelijk zijn voor het beoogde 
doel; 

° de proportionaliteit: is de voorziene gegevensverwerking niet een te zwaar middel om 
het beoogde doel te bereiken. 

o de subsidiariteit: zijn er voor de voorziene gegevensverwerking alternatieven die 

minder inbreuk maken op de privacy van betrokkene of die meer waarborgen bieden. 

• Burgers worden altijd geïnformeerd over wat er met welk doel wordt verwerkt en met wie 
deze gegevens worden gedeeld. 

• Alleen in zeer uitzonderlijke gevallen kunnen op grond van artikel 8 onder f Wbp 
privacyrechten opzij worden gezet, namelijk als er sprake is van een gerechtvaardigd belang 
dat prevaleert. De gemeente is zich bewust van de zware criteria, die vooraf zeer goed 
moeten worden afgewogen en gemotiveerd. 

• De medewerkers maken bij hun afwegingen gebruik van een door de privacybeheerder op 
te stellen afwegingskader / stappenplan met checklist, waarin de uit de Wbp voortvloeiende 
afwegingsmomenten duidelijk staan beschreven. Van de medewerkers wordt verwacht dat 
ze conform dit document zullen werken en de checklist invullen. 

• Deze manier van werken moet onze gemeente tot een betrouwbare partner maken, die 
respect heeft voor de burger en zijn behoefte aan en recht op privacy. 

• Het 'privacy bewustzijn' is een proces dat continue actueel gehouden moet worden, door 
bijvoorbeeld training, intervisie, coaching en (juridische) advisering op maat. 

2. Doelbinding versus integraal werken 

Bij de wetgeving inzake privacy gaat het onder andere over het vereiste van doelbinding. 

Allereerst mogen persoonsgegevens alleen verwerkt worden als de Wet bescherming persoonsgegevens 
hiervoor een grondslag biedt (artikel 8 Wbp). Zonder een toepasselijke wettelijke grondslag is verwerking 
niet toegestaani 

Indien vaststaat dat persoonsgegevens mogen worden verwerkt, staat daarmee tevens vast voor welk 
doel de gegevens verwerkt mogen worden. Dat is namelijk een vereiste voor rechtmatige verwerking. 

Als het doel van de verwerking vaststaat mogen de persoonsgegevens ook voor andere doeleinden 
gebruikt worden, zolang die verenigbaar zijn met het oorspronkelijke doel. Hier moet een strikte uitleg 
aan worden gegeven. "Hoe gevoeliger het gegeven, hoe minder snel mag worden aangenomen dat er 
sprake is van verenigbaar gebruik indien bij enige verwerking wordt afgeweken van het oorspronkelijk 
doel." (Memorie van Toelichting Wbp). 

De decentralisatie gaat over zorgverlening waarbij vrijwel op elk punt medische gegevens gebruikt 
worden. Dit zijn UITERMATE gevoelige gegevens, waarbij dus alleen in zeer uitzonderlijke situaties een 
verenigbaar doel kan worden aangenomen. 

De doelbinding staat in veel gevallen de uitwisseling van persoonsgegevens over verschillende domeinen 
in de weg. In de verschillende materiewetten is vastgelegd dat er informatie mag worden verwerkt, 
voor welk doel, en met wie deze informatie kan worden gewisseld. Uitwisseling binnen een domein is 
vaak mogelijk, maar een uitwisseling tussen de zorgsector en de jeugdsector is juridisch lastig omdat 
de doeleinden voor gegevensverwerking in deze materiewetten aanzienlijk van elkaar verschillen en 
een doelbinding niet voor de hand ligt. 

Binnen de bestaande wetgeving is er geen standaardoplossing die het principe van één regisseur 
binnen meerdere sectoren enerzijds en doelbinding vanwege privacy anderzijds, met elkaar in 
overeenstemming brengt. 

Voor het uitwisselen van gegevens wordt een oplossing gezocht in het onderscheid van DAT-informatie 
en WAT-informatie; 

• Wat-informatie betreft de inhoudelijke informatie van een klant uit een sector van het sociaal 
domein. 

• Dat-informatie betreft de informatie dat er inhoudelijke informatie van een klant is binnen een 
bepaalde sector, zonder dat de inhoud van die informatie wordt prijsgegeven. 

• Gecumuleerde informatie betreft alle informatie die afgeleid is van de wat- en dat-informatie en 
die gedepersonaliseerd is. 
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De wat-informatie kan bij de professionele instellingen in de verschillende sectoren blijven. De dat- 
informatie kan dan bij regisseurs-en managementfuncties terecht komen en algemeen geraadpleegd 
worden. 

Ons uitgangspunt is dat er zo min mogelijk wat-informatie over de domeinen binnen het sociaal domein 
heen worden uitgewisseld (doelbinding). 

Dit basisuitgangspunt wordt als volgt uitgewerkt: 

• Binnen een sector is voor de professionals van die sector de volgende informatie toegankelijk: 

o de wat-informatie uit de eigen sector 

o de dat-informatie uit alle andere sectoren (voor zover de noodzakelijkheid kan worden 
aangetoond) 

° alle gecumuleerde informatie 

• Voor de regisseur is de volgende informatie toegankelijk: 

o de wat-informatie voor zover deze onmisbaar is voor het functioneren van de regisseur 
o de dat-informatie van alle sectoren 

° alle gecumuleerde informatie. 

• Voor andere partijen zoals management e.d. is de volgende informatie toegankelijk: 

°alle gecumuleerde informatie 

Niet in alle gevallen is dit houdbaar of werkbaar. Soms is het redelijkerwijs te voorzien dat er wat- 
informatie nodig is om dieper op de inhoud (het "wat") te kunnen ingaan omdat alleen dan tegemoet 
kan worden gekomen aan de hulpvraag van de burger. 

Van belang is om bij dergelijke grensoverschrijdingen duidelijk aan te geven waarom over de dat-wat- 
grens heen is gegaan. Jurisprudentie laat zien dat het achteraf motiveren daarvan, in geval van een 
gerechtelijke procedure geen stand zal houden. Deze uitzonderingsgevallen moeten om die reden goed 
worden beargumenteerd en gedocumenteerd om hierover verantwoording te kunnen afleggen. Dit kan 
met gebruikmaking van het daarvoor ontwikkelde afwegingskader met checklist. 

Deze beleidsregels zijn door het college van burgemeester en wethouders van de gemeente Winterswijk 
vastgesteld In zijn vergadering van 23 december 2014. 
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